2014年，以Havex為代表的新一代的APT攻擊肆虐工業(yè)控制系統，而基于信息網(wǎng)絡(luò )安全的防護手段及現有的工控網(wǎng)絡(luò )防護手段，在A(yíng)PT2.0時(shí)代的攻擊面前已經(jīng)成為“皇帝的新衣”。面對APT2.0時(shí)代的威脅，打造針對于工控網(wǎng)絡(luò )的新一代防御體系已勢在必行。很多人對2014年黑客APT攻擊德國鋼廠(chǎng)事件仍然記憶猶新：黑客通過(guò)魚(yú)叉式網(wǎng)絡(luò )釣魚(yú)和精心安排的社會(huì )工程學(xué)攻擊手段獲取鋼廠(chǎng)辦公網(wǎng)絡(luò )訪(fǎng)問(wèn)權，成功進(jìn)入生產(chǎn)網(wǎng)絡(luò )并攻擊，導致工控系統的控制組件和整個(gè)生產(chǎn)線(xiàn)被迫停止運轉，非正常關(guān)閉煉鋼爐令鋼廠(chǎng)損失慘重。

    目前，我國鋼企在原料場(chǎng)、焦化、燒結、煉鐵、煉鋼、軋鋼等主要工藝階段已實(shí)現全流程自動(dòng)化控制，隨著(zhù)兩化融合、能源管理系統的建設，工業(yè)控制系統的信息安全問(wèn)題日益凸顯，鋼企系統架構中存在著(zhù)的信息安全隱患令人擔憂(yōu)。
 

    2015年6月24日，在通化市舉行的第37屆全國冶金企業(yè)自動(dòng)化、信息化技術(shù)論壇上，北京匡恩網(wǎng)絡(luò )科技有限責任公司的解決方案總監井柯，為參會(huì )代表帶來(lái)了一場(chǎng)題為“一場(chǎng)沒(méi)有硝煙的戰爭，由德國鋼廠(chǎng)遭黑客攻擊引發(fā)的思考”的精彩報告，以德國鋼廠(chǎng)遭攻擊透視中國冶金行業(yè)控制系統網(wǎng)絡(luò )安全存在的潛在威脅，并為參會(huì )代表奉上匡恩網(wǎng)絡(luò )的獨家解決方案。

    潛在的威脅

    目前，鋼鐵廠(chǎng)控制網(wǎng)絡(luò )按控制功能和邏輯分為1-4級網(wǎng)絡(luò )（如下圖）：
 

    • L4(企業(yè)資源計劃級ERP)；

    • L3(生產(chǎn)管理級MES)；

    • L2(過(guò)程控制級PCS)：過(guò)程控制網(wǎng)和實(shí)時(shí)數據庫采集網(wǎng)；

    • L1(基礎自動(dòng)化級BAS)：由PLC組成的控制層和SCADA形成的監控層構成。

    大部分鋼廠(chǎng)中的自動(dòng)控制系統已經(jīng)和信息系統連成一體，L2與L3之間由防火墻和數據交換平臺進(jìn)行隔離(邏輯隔離)，在L2以下沒(méi)有防火墻，OA與ERP和MES服務(wù)器之間沒(méi)有隔離，現有的安全措施并不足以保證控制系統的安全，攻擊者可能會(huì )利用ICS的安全漏洞獲取諸如煤氣柜、大型鍋爐等大型設備的控制權。
 

    存在的漏洞

    通信協(xié)議漏洞

    • L1級一般采用modbus等通信協(xié)議，存在授權、加密等安全問(wèn)題。

    • L1級與L2級過(guò)程控制系統和實(shí)時(shí)數據庫系統之間是采用OPC協(xié)議，極易受到攻擊。同時(shí)OPC通信采用動(dòng)態(tài)端口，不能有效使用傳統的IT防火墻。

    操作系統漏洞

    • ICS的工程師站/操作站/過(guò)程級HMI都是通用的Windows操作系統，很少裝補丁，或裝補丁后不能正常運行，從而埋下安全隱患。

    安全策略和管理流程漏洞

    • 缺乏完整有效的安全策略與管理流程，人員信息安全意識缺乏，如調試用筆記本電腦、U盤(pán)等設備的使用及不嚴格的訪(fǎng)問(wèn)控制策略，為有目的的攻擊創(chuàng )造機會(huì )。

    匡恩網(wǎng)絡(luò )的解決方案

    在匡恩網(wǎng)絡(luò )提供的解決方案中，建立安全區域，確定區域邊界并對其安全防護，通過(guò)安全防護產(chǎn)品達到以下目標：

    1. 防止任何未定義流量經(jīng)過(guò)區域邊界。

    2. 防止所有含有惡意軟件或代碼的已定義流量通過(guò)區域邊界。

    3. 檢測并記錄可疑或異?；顒?dòng)。

    4. 在區域內容記錄正?；蛘吆戏ǖ幕顒?dòng)，可用于合規性報告。

    匡恩網(wǎng)絡(luò )通過(guò)全網(wǎng)監測審計平臺對控制系統操作行為進(jìn)行審核，詳細記錄調度系統對過(guò)程控制系統的所有操作行為，實(shí)現對關(guān)鍵參數配置實(shí)時(shí)監測與安全審計并進(jìn)行及時(shí)的預警響應；在L3與L2之間、L2和L1之間部署智能保護產(chǎn)品，通過(guò)工業(yè)協(xié)議的深度解析確保上位機監控系統與現場(chǎng)控制設備之間通訊與控制的合法性；在OPC服務(wù)器端采用數據采集隔離終端 進(jìn)行數據傳輸防護；建立攻防模擬驗證系統，模擬鋼鐵自動(dòng)化系統應用，通過(guò)不斷的在系統上進(jìn)行深入的漏洞挖掘、攻擊研究，完成攻擊效果展示及安全防護方案驗證。

    隨著(zhù)“中國制造2025”進(jìn)程的加深，冶金行業(yè)自動(dòng)化信息完全建設將迎來(lái)高速發(fā)展時(shí)代，但同時(shí)所面臨工業(yè)控制信息安全問(wèn)題也日益嚴峻。如井柯引用狄更斯《雙城記》中的那句話(huà)，“這是一個(gè)最好的時(shí)代，也是一個(gè)最壞的時(shí)代”，工業(yè)控制網(wǎng)絡(luò )安全之路任重道遠，匡恩網(wǎng)絡(luò )作為工業(yè)4.0時(shí)代的網(wǎng)絡(luò )安全專(zhuān)家，專(zhuān)注于解決工業(yè)控制系統的網(wǎng)絡(luò )安全問(wèn)題，為“中國制造2025”保駕護航。